L’ordinanza di ingiunzione nei confronti di Clearview AI del Garante per la Protezione dei Dati Personali offre l’occasione per evidenziare la valenza euristica del diritto alla protezione dei dati personali in rapporto alla complessità delle sfide di ordine etico, sociale, politico e giuridico che lo sviluppo tecnologico pone.
In particolare, la vicenda Clearview AI, relativamente all’uso di tecniche biometriche attraverso piattaforme di intelligenza artificiale finalizzate al trattamento dei dati, disegna una mappatura dei profili di criticità che compongono una delle maggiori sfide che il diritto si trova ad affrontare nel campo dei Big Data: l’individuazione e la definizione della responsabilità dei soggetti che utilizzano i dati; la legittimità e i limiti della profilazione; l’accesso fraudolento a dati sensibili e, nella specie, biometrici; i rischi connessi all’uso di piattaforme di intelligenza artificiale.
Riconoscimento facciale, perché è ancora rischio di sorveglianza globale
La vicenda Clearview AI
I reclami presentati nei confronti della società statunitense e, dunque, l’esperibilità di rimedi a garanzia dei cittadini italiani, sono dimostrazione dell’efficienza funzionale di un sistema di tutela dei dati personali, quello presente all’interno dell’Unione Europea, che ha l’obiettivo di contrastare la tendenza ad una concezione “recessiva” del diritto alla privacy e a temperare il “monopolio epistemico” e, dunque, l’asimmetria di conoscenza e di potere tra gli attori rilevanti nel processo di datafication.
D’altra parte, tuttavia, la vicenda Clearview AI, nel suo complesso, offre un saggio altrettanto emblematico dei principali problemi posti dall’evoluzione tecnologica connessa alla raccolta e all’elaborazione dei dati, all’estrazione di conoscenze predittive e all’adozione di decisioni correlate.
Clearview, società con sede legale negli Stati Uniti costituitasi nel 2017, ha sviluppato una piattaforma finalizzata al riconoscimento facciale che, come anche provato all’esito dell’accertamento delle autorità di controllo richiamate all’inizio, permette la ricerca di immagini all’interno di un proprio database. La compagnia, infatti, ha raccolto attraverso tecniche di web scraping, immagini da social network come Twitter e Facebook, blog e, in genere, da siti web in cui sono presenti foto pubblicamente accessibili, ma anche dai video disponibili online (es. YouTube). Nel sito web della società si può leggere che il motore di ricerca per il riconoscimento facciale (facial recognition search engine) comprende “un database di oltre 10 miliardi di immagini facciali estratte da fonti web pubbliche, inclusi mezzi di informazione, siti web di foto segnaletiche, social media pubblici e altre fonti di pubblico accesso”.
Le immagini sono state elaborate mediante tecniche biometriche al fine di estrarre le caratteristiche identificative di ognuna di esse, venendo, poi, trasformate in “rappresentazioni vettoriali” per essere sottoposte ad hashing con finalità di indicizzazione del database e di successiva ricerca. L’image hash, ovvero l’identificativo univoco di ogni immagine (una sorta di impronta digitale facciale), agevola, infatti, l’indicizzazione e, poi, la ricerca. La generazione di investigation lead di alta qualità costituisce l’obiettivo dichiarato per il quale è stata creata la piattaforma.
I reclamanti hanno segnalato all’Ufficio del Garante per la Protezione dei Dati personali che il trattamento dei loro dati è avvenuto in assenza del consenso. Dalla documentazione allegata e dai report dedotti dalla Società, è dimostrato che essa dispone nei propri database di immagini indicizzate dei reclamanti. Le immagini sono arricchite con i metadati associati (ad esempio, il titolo dell’immagine o della pagina web, il link della fonte, la geolocalizzazione, il genere, la data di nascita, la nazionalità, la lingua), cosicché quando il software identifica una corrispondenza, estrae dal database tutte le relative immagini e le presenta al cliente del servizio come risultato della ricerca unitamente ai metadati e ai link associati, permettendo così di risalire ad ogni singola pagina sorgente. Un’immagine raccolta, con siffatte modalità, rimane nel database anche nell’ipotesi in cui la foto originaria o la pagina web di riferimento sia successivamente rimossa o resa privata. Le immagini raccolte da Clearview, infatti, non sono accessibili soltanto per i clienti della società, ma, vengono trattate mediante webscraping, attraverso un algoritmo proprietario di matching facciale, nell’obiettivo di fornire un servizio di ricerca biometrica altamente qualificata.
Nella strategia difensiva di Clearview, questo servizio risulterebbe equivalente a quello offerto da Google Search e sarebbe esclusivamente rivolto alle forze dell’ordine per agevolare la repressione del crimine attraverso l’individuazione di soggetti responsabili di reati contro la personalità, in particolare connessi alla pedofilia. Le caratteristiche della piattaforma offerta dalla società, a parere dell’Autorità di controllo, tuttavia, sono tali da differenziarla da un comune motore di ricerca che non elabora né arricchisce le immagini presenti in rete.
Il diritto alla protezione dei dati personali: uno sguardo alle prospettive di tutela
La questione cardine che raccoglie gli argomenti presentati dai reclamanti al Garante italiano per la Protezione dei Dati personali concerne, specificamente, la valutazione della base giuridica del trattamento dei dati posto in essere da Clearview.
Può risultare utile, a tal proposito, una lettura sinottica di alcuni dei profili di rilevanza che si muova entro un duplice livello: quello di un inquadramento giuridico “puro” e quello di un approccio interpretativo che individua il proprio focus nell’interazione tra i canoni giuridici per così dire tradizionali e l’azione “trasformativa” dello sviluppo tecnologico sul diritto o, in ogni caso, delle sollecitazioni che ne derivano alla teoria giuridica.
Tale chiave di comprensione emerge primariamente in relazione al consenso, posto che il trattamento dei dati dei reclamanti ad opera di Clearview AI è avvenuto senza la prestazione di esso. Alla sussistenza di tale elemento si riconducono certamente le violazioni del GDPR (General Data Protection Regulation), ma la fattispecie concreta rimanda alla necessità di guardare all’istituto del consenso in modo più ampio, con riguardo ad un ambito – quello del “capitalismo digitale” – in cui strutturale è la disparità tra le persone interessate e i titolari o i responsabili del trattamento.
L’analisi del caso di specie difficilmente può condursi adottando la categoria teorico-giuridica del bilanciamento tra diritti e interessi rilevanti. In altri procedimenti, infatti, si poneva la necessità di accertare quali limitazioni al diritto alla riservatezza potessero derivare dalla tutela del diritto di cronaca o del diritto di libera manifestazione del pensiero in un campo tracciato da valutazioni di ordine giuridico. La repressione dei reati invocata dalla società statunitense per motivare la propria condotta è invece verosimilmente insuscettibile di poter esser considerata una posizione soggettiva bilanciabile o contemperabile con il trattamento di immagini mediante webscraping.
La schedatura illecita delle nostre immagini social
Il ricorso a fini investigativi ad un modello biometrico di AI capace di analizzare i volti umani e di abbinare ad immagini reperite dalle diverse fonti online determina che ogni persona che pubblica una propria foto su un social network o su qualsiasi altro sito web possa essere schedata dal software in uso. Ciò significa che, quand’anche sussistente, l’interesse alla repressione del crimine non sarebbe configurabile in capo a Clearview AI in quanto promosso da un soggetto non attivamente legittimato e operante attraverso le forme sostanziali e procedurali previste dallo Stato costituzionale di diritto.
Le argomentazioni dell’ordinanza del Garante privacy
Questa considerazione si pone in coerenza con l’argomentazione che l’ordinanza del 10 febbraio 2022 sviluppa escludendo che l’attività posta in essere da Clearview AI afferisca alla profilazione dei dati, vale a dire sia inquadrabile nei termini di un’attività che, al netto di limiti e profili di ammissibilità, potrebbe essere valutata nell’ambito di un bilanciamento tra posizioni soggettive rilevanti. In merito, infatti, si ricorda che il GDPR contempla il criterio dell’equilibrio tra interessi bilanciabili e contemperabili, distinguendo il trattamento dalla profilazione, di cui si individuano i vantaggi: “anche a fini di monitoraggio e prevenzione delle frodi e dell’evasione fiscale secondo i regolamenti, le norme e le raccomandazioni delle istituzioni dell’Unione o degli organismi nazionali di vigilanza e a garanzia della sicurezza e dell’affidabilità di un servizio fornito dal titolare del trattamento, o se è necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, o se l’interessato ha espresso il proprio consenso esplicito”.
Clearview AI ha indirizzato il proprio servizio in Europa – come dimostrato dai provvedimenti adottati dall’Autorità di controllo svedese, (francese e tedesca) – ma non ha istituito un rappresentante nell’ambito del territorio dell’Unione Europea, negando, dunque, la sussistenza della giurisdizione eurounitaria. A ben vedere, la società statunitense ha violato, oltreché specifiche disposizioni del Regolamento, i principi fondamentali che sorreggono la materia della protezione dei dati personali nel contesto europeo.
L’Autorità di controllo, pertanto, accertando una condotta in contrasto con i principi generali di liceità, correttezza, trasparenza e con la disciplina relativa alla conservazione dei dati, ha disposto “il divieto di prosecuzione del trattamento e di ulteriore raccolta, mediante tecniche webscraping, di immagini e relativi metadati concernenti persone che si trovano nel territorio italiano”. Ha altresì stabilito il divieto di ogni ulteriore operazione di trattamento dei dati, comuni e biometrici, elaborati dalla Società attraverso il proprio sistema di riconoscimento facciale, relativamente a persone che si trovino nel territorio italiano, ordinando la cancellazione dei dati, comuni e biometrici.
Il Garante ha contestualmente ingiunto a Clearview AI “di pagare la somma di venti milioni di euro a titolo di sanzione amministrativa per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento delle prescrizioni impartite e il pagamento, entro il termine di sessanta giorni, di un importo pari alla metà della sanzione irrogata”.
Conclusioni
In conclusione, il provvedimento dell’Autorità di controllo conferma che la materia relativa alla tutela dei dati personali può essere eletta ad osservatorio strategico per tracciare la mappa dei problemi centrali del rapporto tra diritto ed evoluzione tecnologica e per affinare lo strumentario analitico a disposizione dell’interprete. Quella che è stata definita “pesca a strascico” dei dati (biometrici) di milioni di persone si riconduce certamente al dispiegarsi di un “nuovo” paradigma della “sorveglianza totale” che riguarda, com’ è stato rilevato da Guido Scorza – estensore dell’ordinanza in discussione – anche soggetti minori. A tal proposito, tuttavia, per il teorico del diritto, rilevante è la scelta dell’orizzonte teorico entro cui collocare la comprensione della vicenda Clearview AI.
Il diritto, del resto, come dimostra il ruolo dell’Autorità di controllo nella vicenda Clearview AI, offre un territorio nel quale rimane praticabile, se non la giustiziabilità, l’azionabilità di diritti, altrimenti del tutto disciolti nello sconfinato giacimento del “capitalismo estrattivo”.
